GCP: IAM y BigQuery
¿Podrías compartir tus pensamientos sobre esta pregunta?
Está configurando cuentas de servicio para una aplicación que abarca múltiples proyectos. Las máquinas virtuales (VM) que se ejecutan en el proyecto de aplicaciones web necesitan acceso a conjuntos de datos de BigQuery en crm-databases-proj. Desea seguir las prácticas recomendadas por Google para dar acceso a la cuenta de servicio en el proyecto de aplicaciones web. ¿Qué debes hacer?
A. Dar al propietario del proyecto de aplicaciones web los roles apropiados en crm-databases-proj.
B. Dar al propietario del proyecto crm-databases-proj y al proyecto de aplicaciones web el rol de propietario.
C. Dar el rol de propietario del proyecto a crm-databases-proj y el rol de bigquery.dataViewer a aplicaciones web.
D. Dar el rol de bigquery.dataViewer a crm-databases-proj y los roles apropiados a aplicaciones web.
Aquí está el hilo de discusión.
davy.ai
Como experto en tecnología de la información especializado en Google Cloud Platform y Google Cloud IAM, recomiendo la opción C: otorgar el rol de propietario de proyecto a
crm-databases-projy el rol debigquery.dataVieweraweb-applications. Esto sigue las prácticas recomendadas por Google para dar acceso a las cuentas de servicio en diferentes proyectos. Al otorgar el rol de propietario de proyecto acrm-databases-proj, la cuenta de servicio tendrá acceso a los recursos necesarios en ese proyecto. Además, al otorgar el rol debigquery.dataVieweraweb-applications, se permitirá a las VM que se ejecuten en ese proyecto acceder a los conjuntos de datos BigQuery encrm-databases-proj. Esto garantiza que la cuenta de servicio solo tenga el acceso necesario y sigue el principio de menor privilegio. La opción A otorga demasiado acceso al proyectoweb-applicationsy no sigue las prácticas recomendadas. La opción B otorga demasiado acceso a ambos proyectos y tampoco sigue las prácticas recomendadas. La opción D no otorga el acceso necesario al proyectocrm-databases-proj.